package com.holystone.orca.itsm.shiro;

import org.apache.shiro.codec.Base64;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.web.mgt.CookieRememberMeManager;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;


/**
 * shiro配置类
 * 
 * @author 岂
 *
 */
@Configuration
public class ShiroConfig {

    public static StringBuilder filterChainDefault = new StringBuilder();

    /**
	 * ShiroFilterFactoryBean 处理拦截资源文件过滤器。
     * 注意：单独一个ShiroFilterFactoryBean配置是或报错的，因为在初始化ShiroFilterFactoryBean的时候需要注入：SecurityManager
	 *
	 * shiro 连接约束配置filterChainDefinitions
     *      1、一个URL可以配置多个Filter，使用逗号分隔
     *      2、当设置多个过滤器时，全部验证通过，才视为通过
	 *      3、部分过滤器可指定参数，如perms，roles
     *
     *      Filter Chain定义说明：
     *
     * 1、一个URL可以配置多个Filter，使用逗号分隔；
     * 2、当设置多个过滤器时，全部验证通过，才视为通过；
     * 3、部分过滤器可指定参数，如perms，roles
     *
     * Shiro内置的FilterChain：
     *
     * FilterName   说明	                      Class
     * anon	        所有url都都可以匿名访问       org.apache.shiro.web.filter.authc.AnonymousFilter
     * authc	    需要认证才能进行访问          org.apache.shiro.web.filter.authc.FormAuthenticationFilter
     * authcBasic	                          org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
     * perms	                              org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
     * port	                                  org.apache.shiro.web.filter.authz.PortFilter
     * rest	                                  org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
     * roles	                              org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
     * ssl	                                  org.apache.shiro.web.filter.authz.SslFilter
     * user	        配置记住我或认证通过可以访问   org.apache.shiro.web.filter.authc.UserFilter
	 *
	 */
	@Bean
	public ShiroPermissionFactory shirFilter(SecurityManager securityManager, DubboServiceCatalog dubboServiceCatalog) {
        // shiroFilterFactoryBean对象
        ShiroPermissionFactory shiroFilterFactoryBean = new ShiroPermissionFactory();

		// 配置shiro安全管理器 SecurityManager
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		shiroFilterFactoryBean.setDubboServiceCatalog(dubboServiceCatalog);

        //配置shiro默认登录界面地址，前后端分离中登录界面跳转应由前端路由控制，后台仅返回json数据
//        shiroFilterFactoryBean.setLoginUrl("/unauth");
        // 用户访问未对其授权的资源时,所显示的连接
//        shiroFilterFactoryBean.setUnauthorizedUrl("/forbidden");

//		shiroFilterFactoryBean.setLoginUrl("/toLogin");
		// 登录成功后要跳转的链接
//		shiroFilterFactoryBean.setSuccessUrl("/success");
		// 未授权界面;
//		shiroFilterFactoryBean.setUnauthorizedUrl("/403");

		// 自定义拦截器
		Map<String, Filter> filtersMap = new LinkedHashMap<>();

		// 限制同一帐号同时在线的个数。
		filtersMap.put("kickout", kickoutSessionControlFilter());
		//为自定义的filter ,作用是角色权限设置成或者的关系，shiro自带的roles为并且关系，不符合要要求。
//        filtersMap.put("userAuth",formAuthenticationFilter());
        filtersMap.put("roleOrFilter",roleOrFilter());
		shiroFilterFactoryBean.setFilters(filtersMap);
		// 拦截器.
		// 配置记住我或认证通过可以访问的地址
        // 过滤链定义，从上向下顺序执行，一般将 /**放在最为下边 -->:这是一个坑呢，一不小心代码就不好使了;
        filterChainDefault.append("/=user\n");
        // authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问 user:rememberMe或认证后可访问

//        filterChainDefault.append("/druid/**=anon");
        filterChainDefault.append("/login=anon,kickout\n");
        // 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
//        filterChainDefault.append("/logout=logout,kickout\n");

        //为了测试更改权限，对此url不做过滤
        filterChainDefault.append("/sys/updateFilter=anon");

        shiroFilterFactoryBean.setFilterChainDefinitions(filterChainDefault.toString());
		System.out.println("Shiro拦截器工厂类注入成功");
		return shiroFilterFactoryBean;
	}

	/**
	 * 访问 权限 拦截器
	 * 
	 * @return
	 */
//	@Bean
//	public URLPathMatchingFilter getURLPathMatchingFilter() {
//		return new URLPathMatchingFilter();
//	}
	@Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		// 设置realm.
		securityManager.setRealm(myShiroRealm());
		// 自定义缓存实现 使用redis
		securityManager.setCacheManager(cacheManager());
		// 自定义session管理 使用redis
		securityManager.setSessionManager(sessionManager());
		// 注入记住我管理器;
		securityManager.setRememberMeManager(rememberMeManager());
		return securityManager;
	}

	/**
	 * 身份认证realm; (这个需要自己写，账号密码校验；权限等)
	 * 
	 * @return
	 */
	@Bean
	public MyShiroRealm myShiroRealm() {
		return new MyShiroRealm();
	}

	@Bean
	public DubboServiceCatalog dubboServiceCatalog(){
	    return new DubboServiceCatalog();
    }

	/**
	 * cacheManager 缓存 redis实现 使用的是shiro-redis开源插件
	 * 
	 * @return
	 */
	public RedisCacheManager cacheManager() {
		RedisCacheManager redisCacheManager = new RedisCacheManager();
		redisCacheManager.setRedisManager(redisManager());
		return redisCacheManager;
	}

	/**
	 * 配置shiro redisManager 使用的是shiro-redis开源插件
	 * 
	 * @return
	 */
	public RedisManager redisManager() {
		RedisManager redisManager = new RedisManager();
		redisManager.setHost("localhost");
		redisManager.setPort(6379);
		redisManager.setExpire(1800);// 配置缓存过期时间
		redisManager.setTimeout(5000);
		// redisManager.setPassword(password);
		return redisManager;
	}

	/**
	 * RedisSessionDAO shiro sessionDao层的实现 通过redis 使用的是shiro-redis开源插件
	 */
	public RedisSessionDAO redisSessionDAO() {
		RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
		redisSessionDAO.setRedisManager(redisManager());
		return redisSessionDAO;
	}

	/**
	 * Session Manager 使用的是shiro-redis开源插件
	 */
	public MySessionManager sessionManager() {
        MySessionManager sessionManager = new MySessionManager();
		sessionManager.setSessionDAO(redisSessionDAO());
		return sessionManager;
	}

	/**
	 * cookie对象;
	 * 
	 * @return
	 */
	private SimpleCookie rememberMeCookie() {
		// 这个参数是cookie的名称，对应前端的checkbox的name = rememberMe
		SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
		// <!-- 记住我cookie生效时间30天 ,单位秒;-->
		simpleCookie.setMaxAge(2592000);
		return simpleCookie;
	}

	/**
	 * cookie管理对象;记住我功能
	 * 
	 * @return
	 */
	private CookieRememberMeManager rememberMeManager() {
		CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
		cookieRememberMeManager.setCookie(rememberMeCookie());
		// rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)
		cookieRememberMeManager.setCipherKey(Base64.decode("3AvVhmFLUs0KTA3Kprsdag=="));
		return cookieRememberMeManager;
	}

	/**
	 * 限制同一账号登录同时登录人数控制
	 * 
	 * @return KickoutSessionControlFilter
	 */
	@Bean
	public KickoutSessionControlFilter kickoutSessionControlFilter() {
		KickoutSessionControlFilter kickoutSessionControlFilter = new KickoutSessionControlFilter();
		// 使用cacheManager获取相应的cache来缓存用户登录的会话；用于保存用户—会话之间的关系的；
		// 这里我们还是用之前shiro使用的redisManager()实现的cacheManager()缓存管理
		// 也可以重新另写一个，重新配置缓存时间之类的自定义缓存属性
		kickoutSessionControlFilter.setCacheManager(cacheManager());
		// 用于根据会话ID，获取会话进行踢出操作的；
		kickoutSessionControlFilter.setSessionManager(sessionManager());
		// 是否踢出后来登录的，默认是false；即后者登录的用户踢出前者登录的用户；踢出顺序。
		kickoutSessionControlFilter.setKickoutAfter(false);
		// 同一个用户最大的会话数，默认1；比如2的意思是同一个用户允许最多同时两个人登录；
		kickoutSessionControlFilter.setMaxSession(2);
		// 被踢出后重定向到的地址；
		kickoutSessionControlFilter.setKickoutUrl("/kickout");
		return kickoutSessionControlFilter;
	}
    @Bean
    public RolesOrAuthFilter roleOrFilter() {
        return new RolesOrAuthFilter();
    }

	/**
	 * shiro生命周期处理器
	 */
	@Bean
	public LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
		return new LifecycleBeanPostProcessor();
	}

	/***
	 * 授权所用配置
	 */
	@Bean
	public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
		DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
		defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
		return defaultAdvisorAutoProxyCreator;
	}

	/**
	 * 开启shiro aop注解支持. 使用代理方式;所以需要开启代码支持;
	 */
	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
		return authorizationAttributeSourceAdvisor;
	}

}
